Quand l'administration publique vous envoie l'exemple parfait d'un phishing

Rédigé par Jeey - 12 janvier 2026 - Aucun commentaire

Lors de la réception d'un courriel pour la prise de rendez-vous RSA, j'ai voulu me fier au protocole indiqué par le site CyberMalveillance.gouv.fr pour savoir s'il s'agissait d'un phishing.

Si j'avais suivi les recommandations du site CyverMalveillance, ce mail aurait fini à la corbeille. Et j'aurai perdu du temps, de l'énergie et cette précieuse aide financière...

« Faites ce que je dis, pas ce que je fais », l'analyse ⬇️

Voici donc le mail reçu par Maccompagne (à son adresse email, à mon intention) :

Grille d'analyse du risque de phishing en me basant sur les recommandations du site CyberMalveillance.gouv.fr. Profitez en pour prendre des notes !

 

12+1 points sont à surveiller.

☢️ 0. Pas le bon destinataire (point bonus, non spécifié dans la liste mais qui a suscité mon interrogation)
-> le courriel me concernant a été envoyé à l'adresse mail ma compagne.
 

🟢 1. Une notification de la messagerie ou de l’antivirus
-> RAS
 

☢️ 2. Un email d’un service ou d’une société dont vous n’êtes pas client
-> En effet, le mail provient du service "RDV Insertion" que je ne connais pas et pour lequel aucun organisme ne m'a prévenu de son utilisation
 

☢️ 3. Mail phishing : un nom d’expéditeur inhabituel
-> le nom de l'expéditeur est "rdv-solidarites", tout en minuscule, sans accent, sans plus d'explication. Ce contact m'est inconnu et je n'ai jamais été informé que je recevrai un mail de celui-ci.
 

☢️ 4. Une adresse d’expédition fantaisiste 
-> le mail d'expéditeur "rdv-solidarites <support-insertion@rdv-solidarites.fr>" est différent du mail de réponse "invitation+5IJzeIOEJUUDC@reply.rdv-insertion.fr" avec deux noms de domaine différents qui ne sont pas identifiés clairement, comme avec un domaine en .gouv.fr. Par ailleurs, le mail de réponse utilise un formatage étrange (techniquement légitime pour les plus geeks d'entre nous, certes)
 

☢️ 5. Un objet d’email trop alléchant ou alarmiste
-> RSA - Prenez rendez-vous dans le cadre de votre RSA
avec une redondance du terme "RSA" et de facto une urgence affichée concernant ce genre de rendez-vous administratif où le moindre manquement abouti à la suspension d'aides financières vitales
 

☢️ 6. Une apparence suspecte
-> le look avait l'air assez bon, avec des images d'en-tête. Par contre, il est écrit "Logo du département" en lieu et place de l'image alors que j'ai accepté d'afficher les images. Cela ressemble a un raté
 

❓️ 7. Une absence de personnalisation
-> avec la liste sans fin des fuites ces derniers temps, cet aspect peut être largement relativisé...
 

☢️ 8. Une demande inhabituelle 
-> n'ayant pas été informé par quelque moyen que ce soit d'une prise de rendez-vous...
 

🟢 9. Une demande d’informations confidentielles
-> j'ai un peu oublié ce qui m'était demandé mais pas grand chose je crois...
 

☢️ 10. Un message aguicheur ou inquiétant
-> le texte fait clairement mention d'une urgence pour faire cliquer : "Ce lien de prise de rendez-vous est valable 3 jours. Ce rendez-vous est obligatoire." typique des méthodes d'arnaques
 

🟢 11. Mail phishing : des fautes de français surprenantes
-> L'un des avantages de l'IA, c'est que la génération de texte permet maintenant de faire des mails de phishing sans faute d'orthographe...
 

☢️ 12. Une incitation à cliquer sur un lien ou une pièce-jointe
-> Forte incitation de cliquer urgemment sur le lien "Ce lien de prise de rendez-vous est valable 3 jours. Ce rendez-vous est obligatoire.", sans autre possibilité d'accéder à l'interface d'un site connu qu'en cliquant sur le lien du mail, chose contraire aux bonnes pratiques d'hygiène numérique

 

Résultat : 9,5 points sur 13 : ce mail est manifestement un mail d'arnaque !

Manifestement, ce mail est un phishing si l'on en croit l'administration publique. J'aurai du le supprimer. Cela aurait abouti à une perte de mes aides financières vitales.

Il est impératif pour l'administration de revoir la diffusion de ce type de message.
Voici quelques unes de mes recommandations :

  • Que la CAF prévienne en amont de la prochaine réception de ce type de message (par exemple, lors de la confirmation de l'accès au RSA),
  • le nom d'expéditeur pourrait être plus clair, pour permettre que l'on puisse clairement l'identifier (et que ce soit raccord avec l'information préalable de la CAF vue au point précédent)
  • d'autres possibilités de connexion sur le site pourraient être données plutôt que le seul lien du mail,
  • le nom de domaine devrait être en .gouv.fr
  • etc etc...

Si j'ai tout de même cliqué sur ce lien, c'est que j'avais répondu à une offre d'emploi pour être chargé de support pour le dispositif RDV-Solidarité. Comme j'avais bien fait mon boulot de candidature, j'avais, à l'époque, repéré le nom de domaine et l'outil. Malheureusement, ma candidature n'a pas été retenue... Mais ça ne m'empêche pas de contribuer un peu... Si l'équipe de Beta.Gouv passe par là :)


Et pour celleux qui n'ont pas candidaté et qui ne connaissant pas le dispositif. Bon courage ...

Mème : deux boutons rouges, un dit « Cliquer sur le lien », l'autre « Supprimer le mail au cas où ». Un homme tagué « Bénéficiaire du RSA » transpire en ne sachant sur quel bouton appuyer.
 

Le tôlard

Écrire un commentaire

Quelle est le troisième caractère du mot 5icj6 ? :